Исследователь осуществил успешную атаку на windows.com с помощью битсквоттинга

Исследователь осуществил успешную атаку на windows.com с помощью битсквоттинга

Битсквоттинг основывается на концепции, известной как манипуляция битами или bit flipping.

Исследователю безопасности под псевдонимом Remy удалось успешно осуществить на домен Microsoft (windows.com) атаку под названием битсквоттинг.

Битсквоттинг представляет собой атаку, в рамках которой злоумышленники регистрируют поддельное доменное имя, отличающееся от оригинального одним битом. Битсквоттинг напоминает другую атаку, тайпсквоттинг, при которой регистрируются доменные имена, похожие на оригинальные ресурсы, но отличающиеся от них одним или несколькими символами. Тем не менее, в отличие от тайпсквоттинга, полагающегося на то, что при наборе адреса пользователь опечатается и не заметит ошибки, при битсквоттинге никаких действий со стороны пользователя не требуется.

Битсквоттинг основывается на концепции, известной как манипуляция битами или bit flipping, благодаря которой злоумышленники могут автоматизировать свои атаки и похищать трафик.

В мире компьютеров все данные хранятся в виде нолей и единиц (битов). То же самое касается доменов. К примеру, в энергозависимой памяти компьютера windows.com становится 01110111[...]. Но что если по какой-то причине один из битов автоматически переключится с одного состояния на другое (1 превратится в 0 или наоборот)?.

"Теперь давайте вообразим, что перегревшийся компьютер, вспышка на солнце или космическое излучение (вполне реальная штука) перевернуло бит на компьютере. О нет! Теперь хранящееся в памяти значение стало whndows.com вместо windows.com! Что произойдет, когда придет время подключаться к этому домену? Домен не разрешится в IP-адрес", - сообщил исследователь.

Обнаружив возможности "мутации" домена windows.com, Remy создал целый список таких доменов с "перевернутыми" битами. Исследователь выяснил, что из 32 действительных доменных имен, представляющих собой вариации windows.com с одним "перевернутым" битом, 14 еще не были зарегистрированы.

"Это немного странно, так как обычно их покупают компании наподобие Microsoft в целях предотвращения попыток фишинга. Поэтому я купил их. Все. Менее чем за $126", - сообщил Remy.

К большому удивлению исследователя, он зафиксировал трафик, предназначенный для windows.com, но идущий к купленным им доменам. Кроме того, он захватил UDP-трафик, предназначенный для сервера точного времени time.windows.com, и TCP-трафик, предназначенный для сервисов Microsoft, таких как Windows Push Notification Services (WNS) и SkyDrive (ранее OneDrive).

Помимо трафика, полученного с помощью битсквоттинга, Remy также обнаружил значительное количество запросов от пользователей, неправильно вводящих доменные имена. Хотя некоторые из этих запросов были явными случаями битсквоттинга, исследователь был удивлен, увидев, что часть поступавшего на его домены трафика предназначалась для тайпсквоттинговых доменов.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться